Questa pagina è stata tradotta dall'API Cloud Translation.

Esaminare e applicare i suggerimenti sui ruoli per progetti, cartelle e organizzazioni

Questa pagina spiega come visualizzare, comprendere e applicare i suggerimenti sui ruoli per progetti, cartelle e organizzazioni. I suggerimenti sui ruoli ti aiutano ad applicare il principio del privilegio minimo assicurando che le entità dispongano solo delle autorizzazioni di cui hanno effettivamente bisogno.

Prima di iniziare

Enable the IAM and Recommender APIs.
Enable the APIs
Informazioni sui suggerimenti sui ruoli.
Consulta le best practice per i suggerimenti sui ruoli.
(Facoltativo) Se vuoi visualizzare e gestire i suggerimenti sui ruoli per i ruoli non di base e personalizzati, assicurati di aver attivato il livello Premium o Enterprise di Security Command Center a livello di organizzazione o progetto. Per ulteriori informazioni, consulta la pagina Domande sulla fatturazione.
Configurare l'autenticazione.

Select the tab for how you plan to use the samples on this page:
gcloud

Ruoli IAM richiesti

Questa sezione descrive i ruoli e le autorizzazioni IAM necessari per utilizzare i suggerimenti sui ruoli.

Visualizza i suggerimenti

Per ottenere le autorizzazioni necessarie per visualizzare i suggerimenti sui ruoli, chiedi all'amministratore di concederti i seguenti ruoli IAM sulla risorsa per cui vuoi visualizzare i suggerimenti (progetto, cartella o organizzazione):

Visualizzatore ruoli (roles/iam.roleViewer)
Visualizzatore motore per suggerimenti IAM (roles/recommender.iamViewer)
Per visualizzare i consigli a livello di progetto nella console Google Cloud : Amministratore IAM progetto (roles/resourcemanager.projectIamAdmin)
Per visualizzare i consigli a livello di cartella nella console Google Cloud : Amministratore IAM cartella (roles/resourcemanager.folderIamAdmin)
Per visualizzare i consigli a livello di organizzazione nella console Google Cloud : Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin)

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per visualizzare i suggerimenti sui ruoli. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per visualizzare i suggerimenti sui ruoli sono necessarie le seguenti autorizzazioni:

iam.roles.get
iam.roles.list
recommender.iamPolicyRecommendations.get
recommender.iamPolicyRecommendations.list
recommender.iamPolicyInsights.get
recommender.iamPolicyInsights.list
recommender.iamPolicyLateralMovementInsights.get
recommender.iamPolicyLateralMovementInsights.list
Per visualizzare i suggerimenti nella console Google Cloud : resourcemanager.RESOURCE.getIamPolicy, dove RESOURCE è il tipo di risorsa per cui vuoi visualizzare i suggerimenti (projects, folders o organizations).

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Applicare e ignorare i consigli

Per ottenere le autorizzazioni necessarie per visualizzare, applicare e ignorare i suggerimenti sui ruoli, chiedi all'amministratore di concederti i seguenti ruoli IAM sulla risorsa per cui vuoi gestire i suggerimenti (progetto, cartella o organizzazione):

Visualizzatore ruoli (roles/iam.roleViewer)
Amministratore motore per suggerimenti IAM (roles/recommender.iamAdmin)
Per gestire i suggerimenti a livello di progetto: Project IAM Admin (roles/resourcemanager.projectIamAdmin)
Per gestire i suggerimenti a livello di cartella: Amministratore IAM cartella (roles/resourcemanager.folderIamAdmin)
Per gestire i consigli a livello di organizzazione: Amministratore dell'organizzazione (roles/resourcemanager.organizationAdmin)

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questi ruoli predefiniti contengono le autorizzazioni necessarie per visualizzare, applicare e ignorare i suggerimenti sui ruoli. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per visualizzare, applicare e ignorare i suggerimenti sui ruoli sono necessarie le seguenti autorizzazioni:

iam.roles.get
iam.roles.list
recommender.iamPolicyRecommendations.get
recommender.iamPolicyRecommendations.list
recommender.iamPolicyInsights.get
recommender.iamPolicyInsights.list
recommender.iamPolicyLateralMovementInsights.get
recommender.iamPolicyLateralMovementInsights.list
recommender.iamPolicyRecommendations.update
resourcemanager.RESOURCE.getIamPolicy, dove RESOURCE è il tipo di risorsa per cui vuoi gestire i suggerimenti (projects, folders o organizations).
resourcemanager.RESOURCE.setIamPolicy, dove RESOURCE è il tipo di risorsa per cui vuoi gestire i suggerimenti (projects, folders o organizations).

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Revisione e applicazione dei suggerimenti

Il modo più semplice per esaminare e applicare i consigli è utilizzare la consoleGoogle Cloud . Inoltre, se vuoi creare automaticamente un ruolo personalizzato quando applichi un consiglio, devi utilizzare la console Google Cloud .

Puoi anche esaminare e applicare i suggerimenti con Google Cloud CLI e l'API Recommender.

Console

Nella console Google Cloud vai alla pagina IAM.

Vai a IAM
Seleziona un progetto, una cartella o un'organizzazione.
Nell'elenco delle entità che hanno accesso al tuo progetto, individua la colonna Informazioni sulla sicurezza.

Nota: la console Google Cloud non mostra automaticamente le concessioni di ruolo per gli agenti di servizio. Per visualizzare queste concessioni di ruoli e i relativi consigli, seleziona Includi concessioni di ruoli fornite da Google.

Per ogni ruolo concesso a un principal, questa colonna mostra eventuali approfondimenti relativi alla sicurezza. Questi approfondimenti evidenziano i pattern di accesso alle risorse da parte delle tue entità. Ad esempio, alcuni approfondimenti evidenziano le autorizzazioni in eccesso o le autorizzazioni di cui un'entità non ha bisogno. Altri approfondimenti mettono in evidenza i service account con funzionalità di movimento laterale:

Se è disponibile un suggerimento per risolvere un insight, la consoleGoogle Cloud mostra l'icona Suggerimento disponibile .

Nota :Recommender non analizza le autorizzazioni per tutti i ruoli. Per scoprire quali ruoli analizza Recommender, vedi Disponibilità dei suggerimenti per le policy IAM.
Se ci sono consigli da esaminare, fai clic su un'icona Consiglio disponibile per visualizzare i dettagli del consiglio.

Se il suggerimento è di sostituire il ruolo, il suggerimento per il ruolo suggerisce sempre un insieme di ruoli predefiniti che puoi applicare.

In alcuni casi, il suggerimento per il ruolo consiglia anche di creare un nuovo ruolo personalizzato a livello di progetto. Se è disponibile un suggerimento per un ruolo personalizzato, la console Google Cloud lo mostra per impostazione predefinita. Per passare al suggerimento del ruolo predefinito, fai clic su Visualizza ruolo predefinito consigliato.
Esamina attentamente il consiglio e assicurati di capire in che modo cambierà l'accesso dell'entità alle risorse. Google Cloud Ad eccezione dei consigli per gli agenti di servizio, un consiglio non aumenterà mai il livello di accesso di un principal. Per saperne di più, consulta la sezione Come vengono generati i suggerimenti sui ruoli.

Per scoprire come esaminare i consigli nella console, vedi Esaminare i consigli in questa pagina.
(Facoltativo) Se il consiglio è di creare un ruolo personalizzato, aggiorna Titolo, Descrizione, ID e Fase di lancio del ruolo in base alle esigenze.

Se devi aggiungere autorizzazioni al ruolo personalizzato, fai clic su Aggiungi autorizzazioni.

Se devi rimuovere le autorizzazioni dal ruolo personalizzato, deseleziona la casella di controllo per ogni autorizzazione da rimuovere.
Intervieni in base al consiglio.

Per applicare il consiglio, fai clic su Applica o Crea e applica. Se cambi idea nei prossimi 90 giorni, utilizza la cronologia dei consigli per annullare la tua scelta.

Per ignorare il consiglio, fai clic su Ignora, quindi conferma la tua scelta. Puoi ripristinare un consiglio ignorato a condizione che sia ancora valido.

Nota: puoi anche applicare e ignorare rapidamente i consigli facendo clic sulla freccia di espansione accanto a un approfondimento con un consiglio, quindi facendo clic su Applica consiglio o Ignora consiglio. Non puoi applicare i suggerimenti per creare ruoli personalizzati in questo modo.
Ripeti i passaggi precedenti finché non avrai esaminato tutti i consigli.

gcloud

Esamina i consigli:

Per elencare i tuoi consigli, esegui il comando gcloud recommender recommendations list:

gcloud recommender recommendations list \
    --location=global \
    --recommender=google.iam.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=json

Sostituisci i seguenti valori:

RESOURCE_TYPE: il tipo di risorsa per cui vuoi elencare i suggerimenti. Utilizza il valore project, folder o organization.
RESOURCE_ID: l'ID del Google Cloud progetto, della cartella o dell'organizzazione per cui vuoi elencare i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.

La risposta è simile al seguente esempio. In questo esempio, un account di servizio non ha utilizzato alcuna autorizzazione del ruolo Amministratore Compute (roles/compute.admin) negli ultimi 90 giorni. Di conseguenza, il suggerimento per il ruolo ti consiglia di revocarlo:

[
  {
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839"
      }
    ],
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilter": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "serviceAccount:id-1234567890@example-project.iam.gserviceaccount.com",
                "/iamPolicy/bindings/*/role": "roles/compute.admin"
              },
              "resource": "//cloudresourcemanager.googleapis.com/projects/example-project",
              "resourceType": "cloudresourcemanager.googleapis.com/Project"
            }
          ]
        }
      ]
    },
    "description": "This role has not been used during the observation window.",
    "recommenderSubtype": "REMOVE_ROLE",
    "etag": "\"770237e2c0decf40\"",
    "lastRefreshTime": "2020-01-09T06:06:17Z",
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 708
        }
      }
    },
    "priority": "P4",
    "stateInfo": {
      "state": "ACTIVE"
    }
  }
]

Esamina attentamente ogni consiglio e valuta in che modo cambierà l'accesso dell'entità alle risorse Google Cloud . Per scoprire come esaminare i suggerimenti da gcloud CLI, consulta la sezione Esaminare i suggerimenti in questa pagina.

Per applicare un consiglio:

Utilizza il comando gcloud recommender recommendations mark-claimed per impostare lo stato del consiglio su CLAIMED,, in modo che non venga modificato mentre lo applichi:
```
gcloud recommender recommendations mark-claimed \
    RECOMMENDATION_ID \
    --location=global \
    --recommender=google.iam.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA
```
Sostituisci i seguenti valori:
- RECOMMENDATION_ID: l'identificatore univoco del suggerimento. Questo valore viene visualizzato alla fine del campo name nel consiglio. Nell'esempio mostrato sopra, l'ID è fb927dc1-9695-4436-0000-f0f285007c0f.
- RESOURCE_TYPE: Il tipo di risorsa per cui vuoi gestire i suggerimenti. Utilizza il valore project, folder o organization.
- RESOURCE_ID: L'ID del Google Cloud progetto, della cartella o dell'organizzazione per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
- FORMAT: il formato della risposta. Utilizza json o yaml.
- ETAG: il valore del campo etag nel consiglio, ad esempio "dd0686e7136a4cbb". Tieni presente che questo valore può includere virgolette.
- STATE_METADATA: (Facoltativo). Coppie chiave-valore separate da virgole che contengono i metadati che hai scelto per il consiglio. Ad esempio, --state-metadata=reviewedBy=alice,priority=high. I metadati sostituiscono il campo stateInfo.stateMetadata nel suggerimento.
Se il comando ha esito positivo, la risposta mostra il consiglio nello stato CLAIMED, come mostrato nell'esempio seguente. Per chiarezza, l'esempio omette la maggior parte dei campi:
```
[
  {
    "description": "This role has not been used during the observation window.",
    "recommenderSubtype": "REMOVE_ROLE",
    "etag": "\"df7308cca9719dcc\"",
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "stateInfo": {
      "state": "CLAIMED",
      "stateMetadata": {
        "reviewedBy": "alice",
        "priority": "high"
      }
    }
  }
]
```
Ottieni la policy di autorizzazione per il progetto, quindi modifica e imposta la policy di autorizzazione in modo che rifletta il consiglio.
Aggiorna lo stato del consiglio a SUCCEEDED, se sei riuscito ad applicarlo, o a FAILED, se non sei riuscito ad applicarlo:
```
gcloud recommender recommendations COMMAND \
    RECOMMENDATION_ID \
    --location=global \
    --recommender=google.iam.policy.Recommender \
    --RESOURCE_TYPE=RESOURCE_ID \
    --format=FORMAT \
    --etag=ETAG \
    --state-metadata=STATE_METADATA
```
Sostituisci i seguenti valori:
- COMMAND: utilizza mark-succeeded se hai potuto applicare il suggerimento oppure mark-failed se non hai potuto applicarlo.
- RECOMMENDATION_ID: l'identificatore univoco del suggerimento. Questo valore viene visualizzato alla fine del campo name nel consiglio. Nell'esempio mostrato sopra, l'ID è fb927dc1-9695-4436-0000-f0f285007c0f.
- RESOURCE_TYPE: Il tipo di risorsa per cui vuoi gestire i suggerimenti. Utilizza il valore project, folder o organization.
- RESOURCE_ID: L'ID del Google Cloud progetto, della cartella o dell'organizzazione per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
- FORMAT: il formato della risposta. Utilizza json o yaml.
- ETAG: il valore del campo etag nel consiglio, ad esempio "dd0686e7136a4cbb". Tieni presente che questo valore può includere virgolette.
- STATE_METADATA: (Facoltativo). Coppie chiave-valore separate da virgole che contengono i metadati che hai scelto per il consiglio. Ad esempio, --state-metadata=reviewedBy=alice,priority=high. I metadati sostituiscono il campo stateInfo.stateMetadata nel suggerimento.
Ad esempio, se hai contrassegnato il consiglio come riuscito, la risposta mostra il consiglio nello stato SUCCEEDED. Per chiarezza, questo esempio omette la maggior parte dei campi:
```
[
  {
    "description": "This role has not been used during the observation window.",
    "recommenderSubtype": "REMOVE_ROLE",
    "etag": "\"dd0686e7136a4cbb\"",
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "stateInfo": {
      "state": "SUCCEEDED",
      "stateMetadata": {
        "reviewedBy": "alice",
        "priority": "high"
      }
    }
  }
]
```

REST

Esamina i consigli:

Per elencare tutti i suggerimenti disponibili per il tuo progetto, la tua cartella o la tua organizzazione, utilizza il metodo recommendations.list dell'API Recommender.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

RESOURCE_TYPE: Il tipo di risorsa per cui vuoi gestire i suggerimenti. Utilizza il valore projects, folders o organizations.
RESOURCE_ID: l'ID del Google Cloud progetto, della cartella o dell'organizzazione per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
PAGE_SIZE: (Facoltativo). Il numero massimo di risultati da restituire da questa richiesta. Se non specificato, il server determinerà il numero di risultati da restituire. Se il numero di consigli è maggiore della dimensione della pagina, la risposta contiene un token di paginazione che puoi utilizzare per recuperare la pagina successiva dei risultati.
PAGE_TOKEN: (Facoltativo). Il token di paginazione restituito in una risposta precedente <0A> da questo metodo. Se specificato, l'elenco dei consigli inizierà dal punto in cui terminava la richiesta precedente.
FILTER: (Facoltativo). Un'espressione di filtro per limitare i suggerimenti restituiti. Puoi filtrare i consigli in base al campo stateInfo.state. Ad esempio, stateInfo.state:"DISMISSED" o stateInfo.state:"FAILED".
PROJECT_ID: il tuo ID progetto Google Cloud . Gli ID progetto sono stringhe alfanumeriche, come my-project.

Metodo HTTP e URL:

GET https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER"

PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN&filter=FILTER" | Select-Object -Expand Content

La risposta è simile al seguente esempio. In questo esempio, un account di servizio nel progetto example-project non ha utilizzato alcuna autorizzazione del ruolo Amministratore Compute (roles/compute.admin) negli ultimi 90 giorni. Di conseguenza, il motore per suggerimenti ti consiglia di revocare il ruolo:

{
  "recommendations": [
    "name": "projects/123456789012/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f",
    "description": "This role has not been used during the observation window.",
    "lastRefreshTime": "2020-01-09T06:06:17Z",
    "primaryImpact": {
      "category": "SECURITY",
      "securityProjection": {
        "details": {
          "revokedIamPermissionsCount": 708
        }
      }
    },
    "priority": "P4",
    "content": {
      "operationGroups": [
        {
          "operations": [
            {
              "action": "remove",
              "path": "/iamPolicy/bindings/*/members/*",
              "pathFilter": {
                "/iamPolicy/bindings/*/condition/expression": "",
                "/iamPolicy/bindings/*/members/*": "serviceAccount:id-1234567890@example-project.iam.gserviceaccount.com",
                "/iamPolicy/bindings/*/role": "roles/compute.admin"
              },
              "resource": "//cloudresourcemanager.googleapis.com/projects/example-project",
              "resourceType": "cloudresourcemanager.googleapis.com/Project"
            }
          ]
        }
      ]
    },
    "stateInfo": {
      "state": "ACTIVE"
    }
    "etag": "\"770237e2c0decf40\"",
    "recommenderSubtype": "REMOVE_ROLE",
    "associatedInsights": [
      {
        "insight": "projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839"
      }
  ]
}

Esamina attentamente ogni consiglio e valuta in che modo cambierà l'accesso dell'entità alle risorse Google Cloud . Per scoprire come esaminare i suggerimenti dall'API REST, consulta la sezione Esaminare i suggerimenti in questa pagina.

Per applicare un consiglio:

Contrassegna il suggerimento come CLAIMED:

Per contrassegnare un consiglio come CLAIMED, in modo che non venga modificato durante l'applicazione, utilizza il metodo recommendations.markClaimed dell'API Recommender.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
- RESOURCE_TYPE: Il tipo di risorsa per cui vuoi gestire i suggerimenti. Utilizza il valore projects, folders o organizations.
- RESOURCE_ID: l'ID del Google Cloud progetto, della cartella o dell'organizzazione per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
- RECOMMENDATION_ID: l'identificatore univoco per il suggerimento. Questo valore viene visualizzato alla fine del campo name nel consiglio. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID consiglio è fb927dc1-9695-4436-0000-f0f285007c0f.
- ETAG: il valore del campo etag nel consiglio, ad esempio "dd0686e7136a4cbb". Utilizza le barre rovesciate per eseguire l'escape delle virgolette, ad esempio "\"df7308cca9719dcc\"".
- STATE_METADATA: (Facoltativo). Un oggetto che contiene coppie chiave-valore con i metadati che preferisci sul consiglio. Ad esempio, {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il campo stateInfo.stateMetadata nel suggerimento.
- PROJECT_ID: il tuo ID progetto Google Cloud . Gli ID progetto sono stringhe alfanumeriche, come my-project.
Metodo HTTP e URL:
```
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed
```
Corpo JSON della richiesta:
```
{
  "etag": "ETAG",
  "stateMetadata": {
    "STATE_METADATA"
  }
}
```
Per inviare la richiesta, espandi una di queste opzioni:
curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:
```
curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "x-goog-user-project: PROJECT_ID" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed"
```
PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markClaimed" | Select-Object -Expand Content
```
La risposta mostra il suggerimento nello stato CLAIMED, come mostrato nel seguente esempio. Per chiarezza, questo esempio omette la maggior parte dei campi:
```
{
  "description": "This role has not been used during the observation window.",
  "stateInfo": {
    "state": "CLAIMED",
    "stateMetadata": {
      "reviewedBy": "alice",
      "priority": "high"
    }
  },
  "etag": "\"dd0686e7136a4cbb\"",
  "recommenderSubtype": "REMOVE_ROLE"
}
```
Ottieni la policy di autorizzazione per il progetto, quindi modifica la policy di autorizzazione in modo che rifletta il consiglio.
Aggiorna lo stato del consiglio a SUCCEEDED, se sei riuscito ad applicarlo, o a FAILED, se non sei riuscito ad applicarlo:
SUCCEEDED

Per contrassegnare un consiglio come SUCCEEDED, a indicare che sei riuscito ad applicarlo, utilizza il metodo recommendations.markSucceeded dell'API Recommender.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
- RESOURCE_TYPE: Il tipo di risorsa per cui vuoi gestire i suggerimenti. Utilizza il valore projects, folders o organizations.
- RESOURCE_ID: l'ID del Google Cloud progetto, della cartella o dell'organizzazione per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
- RECOMMENDATION_ID: l'identificatore univoco per il suggerimento. Questo valore viene visualizzato alla fine del campo name nel consiglio. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID consiglio è fb927dc1-9695-4436-0000-f0f285007c0f.
- ETAG: il valore del campo etag nel consiglio, ad esempio "dd0686e7136a4cbb". Utilizza le barre rovesciate per eseguire l'escape delle virgolette, ad esempio "\"df7308cca9719dcc\"".
- STATE_METADATA: (Facoltativo). Un oggetto che contiene coppie chiave-valore con i metadati che preferisci sul consiglio. Ad esempio, {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il campo stateInfo.stateMetadata nel suggerimento.
- PROJECT_ID: il tuo ID progetto Google Cloud . Gli ID progetto sono stringhe alfanumeriche, come my-project.
Metodo HTTP e URL:
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded
Corpo JSON della richiesta:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
Per inviare la richiesta, espandi una di queste opzioni:
curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "x-goog-user-project: PROJECT_ID" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded"
PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markSucceeded" | Select-Object -Expand Content
La risposta mostra il suggerimento nello stato SUCCEEDED, come mostrato nel seguente esempio. Per chiarezza, questo esempio omette la maggior parte dei campi:
{ "description": "This role has not been used during the observation window.", "stateInfo": { "state": "SUCCEEDED", "stateMetadata": { "reviewedBy": "alice", "priority": "high" } }, "etag": "\"dd0686e7136a4cbb\"", "recommenderSubtype": "REMOVE_ROLE" }
FAILED

Per contrassegnare un consiglio come FAILED, indicando che non è stato possibile applicarlo, utilizza il metodo recommendations.markFailed dell'API Recommender.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
- RESOURCE_TYPE: Il tipo di risorsa per cui vuoi gestire i suggerimenti. Utilizza il valore projects, folders o organizations.
- RESOURCE_ID: l'ID del Google Cloud progetto, della cartella o dell'organizzazione per cui vuoi gestire i suggerimenti. Gli ID progetto sono stringhe alfanumeriche, come my-project. Gli ID cartella e organizzazione sono numerici, ad esempio 123456789012.
- RECOMMENDATION_ID: l'identificatore univoco per il suggerimento. Questo valore viene visualizzato alla fine del campo name nel consiglio. Ad esempio, se il campo name è projects/example-project/locations/global/recommenders/google.iam.policy.Recommender/recommendations/fb927dc1-9695-4436-0000-f0f285007c0f, l'ID consiglio è fb927dc1-9695-4436-0000-f0f285007c0f.
- ETAG: il valore del campo etag nel consiglio, ad esempio "dd0686e7136a4cbb". Utilizza le barre rovesciate per eseguire l'escape delle virgolette, ad esempio "\"df7308cca9719dcc\"".
- STATE_METADATA: (Facoltativo). Un oggetto che contiene coppie chiave-valore con i metadati che preferisci sul consiglio. Ad esempio, {"reviewedBy": "alice", "priority": "high"}. I metadati sostituiscono il campo stateInfo.stateMetadata nel suggerimento.
- PROJECT_ID: il tuo ID progetto Google Cloud . Gli ID progetto sono stringhe alfanumeriche, come my-project.
Metodo HTTP e URL:
POST https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed
Corpo JSON della richiesta:
{ "etag": "ETAG", "stateMetadata": { "STATE_METADATA" } }
Per inviare la richiesta, espandi una di queste opzioni:
curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "x-goog-user-project: PROJECT_ID" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed"
PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://recommender.googleapis.com/v1/RESOURCE_TYPE/RESOURCE_ID/locations/global/recommenders/google.iam.policy.Recommender/recommendations/RECOMMENDATION_ID:markFailed" | Select-Object -Expand Content
La risposta mostra il suggerimento nello stato FAILED, come mostrato nel seguente esempio. Per chiarezza, questo esempio omette la maggior parte dei campi:
{ "description": "This role has not been used during the observation window.", "stateInfo": { "state": "FAILED", "stateMetadata": { "reviewedBy": "alice", "priority": "high" } }, "etag": "\"dd0686e7136a4cbb\"", "recommenderSubtype": "REMOVE_ROLE" }

Informazioni sui consigli

Ogni consiglio include informazioni per aiutarti a capire perché è stato formulato.

Console

Per aiutarti a capire perché è stato formulato il consiglio, la consoleGoogle Cloud mostra l'utilizzo delle autorizzazioni dell'entità, come riportato dall'approfondimento sui criteri associato al consiglio. Ad esempio, potrebbe mostrare un elenco simile al seguente:

Per aiutarti a comprendere l'impatto dell'applicazione del consiglio, la consoleGoogle Cloud mostra anche un elenco di autorizzazioni codificate con colori e simboli. Questo elenco indica come cambieranno le autorizzazioni dell'entità se applichi il consiglio. Ad esempio, potrebbe mostrare un elenco simile al seguente:

I tipi di autorizzazioni associati a ciascun colore e simbolo sono i seguenti:

Grigio senza simbolo: autorizzazioni presenti sia nel ruolo attuale dell'entità sia nei ruoli consigliati.
Rosso con un segno meno : autorizzazioni presenti nel ruolo attuale dell'entità, ma non nei ruoli consigliati perché l'entità non le ha utilizzate negli ultimi 90 giorni.
Verde con un segno più : autorizzazioni che non sono nel ruolo attuale dell'entità, ma sono nei ruoli consigliati. Questo tipo di autorizzazione viene visualizzato solo nei suggerimenti per gli agenti di servizio.
Blu con un'icona di machine learning : Autorizzazioni presenti sia nel ruolo attuale dell'entità di sicurezza sia nei ruoli consigliati, non perché l'entità di sicurezza le abbia utilizzate negli ultimi 90 giorni, ma perché Recommender ha stabilito tramite il machine learning che probabilmente ne avrà bisogno in futuro.

Alcuni consigli sono associati anche agli approfondimenti sul movimento laterale�. Gli approfondimenti sul movimento laterale identificano i ruoli che consentono a unaccount di serviziot in un progetto di simulare l'identità di unaccount di serviziot in un altro progetto. Se un consiglio è associato a un insight di movimento laterale, la console Google Cloud mostra anche quanto segue:

Il progetto di origine del service account: il progetto in cui è stato creato il service account con autorizzazioni di rappresentazione.
Service account che possono essere rappresentati in questo progetto: un elenco di tutti i service account nel progetto corrente che il account di servizio con autorizzazioni di rappresentazione può rappresentare.

gcloud

Per dettagli sui campi di un suggerimento, consulta la documentazione di riferimento di Recommendation.

Per visualizzare l'utilizzo delle autorizzazioni su cui si basa questo suggerimento, visualizza gli insight sui criteri associati al suggerimento. Questi approfondimenti sono elencati nel campo associatedInsights. Per visualizzare un approfondimento sulle norme associato al consiglio, segui questi passaggi:

Identifica quali insight nel campo associatedInsights sono insight sui criteri. Gli approfondimenti sui criteri hanno il tipo di approfondimento google.iam.policy.insight. Questo tipo viene visualizzato dopo insightTypes nel campo insight.
Copia l'ID dell'approfondimento sui criteri. L'ID è tutto ciò che segue insights/ nel campo insight. Nell'esempio precedente, l'ID insight è 279ef748-408f-44db-9a4a-1ff8865b9839.
Segui le istruzioni per ottenere un approfondimento sulle norme utilizzando l'ID approfondimento che hai copiato.

Alcuni suggerimenti sono associati anche agli approfondimenti sul movimento laterale, che identificano i ruoli che consentono agli account di servizio in un progetto di rappresentare gli account di servizio in un altro progetto. Questi approfondimenti sono elencati anche nel campo associatedInsights. Per visualizzare un approfondimento sul movimento laterale associato al consiglio:

Identifica quali approfondimenti nel campo associatedInsights sono approfondimenti sul movimento laterale. Gli insight sul movimento laterale hanno il tipo di insight google.iam.policy.LateralMovementInsight. Questo tipo viene visualizzato dopo insightTypes nel campo insight.
Copia l'ID dell'approfondimento sui criteri. L'ID è tutto ciò che segue insights/ nel campo insight. Nell'esempio precedente, l'ID insight è 279ef748-408f-44db-9a4a-1ff8865b9839.
Segui le istruzioni per ottenere informazioni sul movimento laterale utilizzando l'ID insight che hai copiato.

REST

Per dettagli sui campi di un suggerimento, consulta la documentazione di riferimento di Recommendation.

Identifica quali insight nel campo associatedInsights sono insight sui criteri. Gli approfondimenti sui criteri hanno il tipo di approfondimento google.iam.policy.insight. Questo tipo viene visualizzato dopo insightTypes nel campo insight.
Copia l'ID dell'approfondimento sui criteri. L'ID è tutto ciò che segue insights/ nel campo insight. Ad esempio, se il campo insight indica projects/123456789012/locations/global/insightTypes/google.iam.policy.Insight/insights/279ef748-408f-44db-9a4a-1ff8865b9839, l'ID approfondimento è 279ef748-408f-44db-9a4a-1ff8865b9839.
Segui le istruzioni per ottenere un approfondimento sulle norme utilizzando l'ID approfondimento che hai copiato.

Identifica quali approfondimenti nel campo associatedInsights sono approfondimenti sul movimento laterale. Gli insight sul movimento laterale hanno il tipo di insight google.iam.policy.LateralMovementInsight. Questo tipo viene visualizzato dopo insightTypes nel campo insight.
Copia l'ID dell'approfondimento sui criteri. L'ID è tutto ciò che segue insights/ nel campo insight. Ad esempio, se il campo insight indica projects/123456789012/locations/global/insightTypes/google.iam.policy.LateralMovementInsight/insights/13088eec-9573-415f-81a7-46e1a260e860, l'ID approfondimento è 13088eec-9573-415f-81a7-46e1a260e860.
Segui le istruzioni per ottenere informazioni sul movimento laterale utilizzando l'ID insight che hai copiato.

Visualizzare, ripristinare e annullare le modifiche

Dopo aver applicato o ignorato un consiglio per un binding di ruolo a livello di progetto, l'azione viene visualizzata nella cronologia dei consigli.

Per visualizzare la cronologia dei consigli:

Nella console Google Cloud vai alla pagina IAM.

Vai a IAM
Seleziona un progetto, una cartella o un'organizzazione.
Nella parte superiore dello schermo, fai clic su Cronologia dei consigli.

La console Google Cloud mostra un elenco delle azioni precedenti relative ai consigli sui ruoli.
Per visualizzare i dettagli di un suggerimento, fai clic sulla freccia di espansione .

La console Google Cloud mostra i dettagli dell'azione intrapresa, incluso il soggetto che l'ha intrapresa:
(Facoltativo) Se necessario, puoi ripristinare il consiglio, annullando le modifiche apportate, oppure ripristinare un consiglio che hai ignorato.

Per annullare una modifica applicata in precedenza a un consiglio, fai clic su Annulla. La Google Cloud console ripristina le modifiche ai ruoli dell'entità. Il consiglio non viene più visualizzato nella consoleGoogle Cloud .

Nota :se la modifica applicata in precedenza ha creato un ruolo personalizzato, il ripristino della modifica non elimina il ruolo personalizzato. Puoi disattivare o eliminare il ruolo personalizzato se non ti serve più.

Per ripristinare un consiglio ignorato, fai clic su Ripristina. Il consiglio diventa visibile nella pagina IAM della consoleGoogle Cloud . Nessun ruolo o autorizzazione viene modificato.

Passaggi successivi

Scopri di più su Recommender.
Scopri come utilizzare Consenti approfondimenti sulle norme.
Scopri come utilizzare gli insight sul movimento laterale.

Esaminare e applicare i suggerimenti sui ruoli per progetti, cartelle e organizzazioni

Prima di iniziare

gcloud

REST

Ruoli IAM richiesti

Visualizza i suggerimenti

Autorizzazioni obbligatorie

Applicare e ignorare i consigli

Autorizzazioni obbligatorie

Revisione e applicazione dei suggerimenti

Console

gcloud

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

`SUCCEEDED`

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

`FAILED`

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Informazioni sui consigli

Console

gcloud

REST

Visualizzare, ripristinare e annullare le modifiche

Passaggi successivi

Esaminare e applicare i suggerimenti sui ruoli per progetti, cartelle e organizzazioni Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Prima di iniziare

gcloud

REST

Ruoli IAM richiesti

Visualizza i suggerimenti

Autorizzazioni obbligatorie

Applicare e ignorare i consigli

Autorizzazioni obbligatorie

Revisione e applicazione dei suggerimenti

Console

gcloud

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

SUCCEEDED

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

FAILED

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Informazioni sui consigli

Console

gcloud

REST

Visualizzare, ripristinare e annullare le modifiche

Passaggi successivi

Esaminare e applicare i suggerimenti sui ruoli per progetti, cartelle e organizzazioni

`SUCCEEDED`

`FAILED`